Cloud Computing Compliance Controls Catalog (C5)

ภาพรวม

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) คือแผนการการรับประกันที่ได้รับการสนับสนุนจากรัฐบาลเยอรมนี เปิดตัวในเยอรมนีโดย Federal Office for Information Security (BSI) เพื่อช่วยองค์กรต่างๆ ให้แสดงให้เห็นความปลอดภัยในการดำเนินงานต่อต้านการโจมตีทางไซเบอร์ทั่วๆ ไปเมื่อใช้บริการบนระบบคลาวด์ภายในบริบทของ "คำแนะนำด้านความปลอดภัยสำหรับผู้ให้บริการคลาวด์" ของรัฐบาลเยอรมัน

การรับประกัน C5 สามารถใช้ได้โดยลูกค้า AWS และที่ปรึกษาที่ปฏิบัติตามข้อกำหนด เพื่อทำความเข้าใจการควบคุมความปลอดภัยที่ปรับใช้โดย AWS เพื่อให้เป็นไปตามข้อกำหนด C5 เมื่อพวกเขาย้ายปริมาณงานขึ้นไปบนระบบคลาวด์ C5 เพิ่มระดับ IT-Security ที่กำหนดโดยกฎระเบียบเทียบเท่ากับ IT-Grundschutz โดยมีปัจจัยควบคุมระบบคลาวด์แบบเฉพาะเพิ่มเข้ามา

C5 รวมข้อกำหนดการควบคุมเพิ่มเติมซึ่งเกี่ยวกับสถานที่ตั้งข้อมูล การจัดเตรียมบริการ ขอบเขตอำนาจศาล การรับรองที่มีอยู่ ภาระผูกพันในการเปิดเผยข้อมูล และคำอธิบายแบบครบวงจร เมื่อใช้ข้อมูลนี้ ลูกค้าสามารถประเมินว่าข้อปฏิบัติทางกฎหมาย (เช่น ความเป็นส่วนตัวของข้อมูล) นโยบายของตนเอง หรือสภาพแวดล้อมของภัยคุกคาม มาเกี่ยวข้องกับการใช้บริการการประมวลผลระบบคลาวด์ของพวกเขาได้อย่างไร

  • C5 คืออะไร

    C5 (Cloud Computing Compliance Controls Catalogue) เป็นมาตรฐาน “cloud computing IT-Security” ในเยอรมนี ออกแบบและจำหน่ายโดย BSI ในเดือนกุมภาพันธ์ 2016 ชุดการควบคุม C5 จะมีการรับประกันเพิ่มเติมให้แก่ลูกค้าในเยอรมนี ขณะที่พวกเขาย้ายปริมาณงานที่ซับซ้อนและมีการควบคุมไปยังผู้ให้บริการ Cloud Computing Service เช่น AWS C5 ครอบคลุมมาตรฐานสากลต่อไปนี้:

    • ISO/IEC 27001:2013 (ISO – International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA - Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud 2.0 (Draft) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (ร่างประกาศว่าด้วย: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["หลักการด้านบัญชีที่เป็นที่ยอมรับโดยทั่วไปสำหรับการจัดจ้างบุคคลภายนอกที่เกี่ยวข้องกับการบริการด้านบัญชีรวมถึง Cloud Computing"] เวอร์ชัน 4 พฤศจิกายน 2014)
    • BSI IT-Grundschutz Catalogues ฉบับที่ 14 เวอร์ชัน 2014
    • BSI SaaS Sicherheitsprofile 2014 [BSI SaaS Security Profiles 2014]
  • ผลประโยชน์ของลูกค้าของมาตรฐานนี้คืออะไร

    AWS ได้ทำการประเมินในปี 2020 เทียบกับโปรแกรมการรักษาความปลอดภัยสารสนเทศและการปฏิบัติตามข้อกำหนด C5 และรายงาน C5 พร้อมให้ดาวน์โหลดใน AWS Artifact รายงานการรับรอง AWS 2021 C5 จะพร้อมให้บริการในปลายปี 2021 

    รายงาน C5 ให้การรับรองจากองค์กรอิสระภายนอกแก่ลูกค้าในยุโรปของเราเกี่ยวกับความเหมาะสมของการออกแบบและประสิทธิภาพในการดำเนินงานด้านการควบคุมของเรา เพื่อให้เป็นไปตามเกณฑ์พื้นฐาน C5 และเกณฑ์อื่นๆ เพิ่มเติม โดยเฉพาะอย่างยิ่ง ลูกค้าในเยอรมนีคุ้นเคยกับการมองหาบริการระบบคลาวด์ที่ได้รับการประเมินตามเกณฑ์ C5 C5 จะมอบเฟรมเวิร์กที่เป็นบันทีกข้อมูลระดับ IT-Security ที่เทียบเท่ากับ IT-Grundschutz ซึ่งครอบคลุมประเด็นในทุกๆ ด้านของ IT-Security สำหรับการประมวลผลบนระบบคลาวด์ให้แก่ลูกค้า สำหรับหน่วยงานกำกับดูแลของรัฐบาลกลาง การรับประกัน C5 ถือเป็นข้อกำหนดพื้นฐานในกระบวนการการจัดหา

  • รีเจี้ยนใดของ AWS ที่อยู่ในขอบเขตสำหรับ C5

    รีเจี้ยน AWS ที่อยู่ในขอบเขตสำหรับ C5 ได้แก่ แฟรงเฟิร์ต ไอร์แลนด์ ลอนดอน ปารีส มิลาน สตอกโฮล์ม และสิงคโปร์ รวมถึง Edge Location ในเยอรมนี ไอร์แลนด์ อังกฤษ ฝรั่งเศส และสิงคโปร์

  • บริการใดที่อยู่ในขอบเขต

    บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของ C5 อยู่แล้วนั้นได้รับการระบุไว้ในบริการของ AWS ซึ่งอยู่ในขอบข่ายโปรแกรมการปฏิบัติตามข้อกำหนด หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้และ/หรือสนใจบริการอื่นๆ โปรดติดต่อเรา

  • ใครเป็นผู้สร้างมาตรฐาน C5

    สำนักงานความมั่นคงทางไซเบอร์แห่งชาติของเยอรมัน "Bundesamt für Sicherheit in der Informationstechnik (BSI)" ได้สร้างมาตรฐาน C5 ขึ้นในปี 2016 BSI ได้ดำเนินการปรับปรุงแก้ไขและอัปเดต C5 catalogue ในปี 2019 เวอร์ชันใหม่ (C5:2020) แล้วเสร็จในเดือนมกราคม 2020 BSI ขอแนะนำอย่างยิ่งให้ใช้ C5:2020 สำหรับการตรวจสอบที่มีระยะเวลาการประเมินสิ้นสุดในหรือหลังวันที่ 15 กุมภาพันธ์ 2021 BSI นิยามข้อกำหนด IT-Security สำหรับระบบหน่วยงานของรัฐทั้งหมด และบริษัทเยอรมันส่วนใหญ่จัดกลยุทธ์ IT-Security ของพวกเขาให้สอดคล้องกับมาตรฐาน BSI

  • C5 กับ IT-Grundschutz ของ BSI แตกต่างกันอย่างไร

    IT-Grundschutz คือมาตรฐานสำหรับการสร้างและรักษาการปกป้องข้อมูลขององค์กรที่เหมาะสม IT-Grundschutz Catalogues อธิบายการป้องกันสำหรับกระบวนการทางธุรกิจทั่วไป ระบบด้าน IT และแอปพลิเคชัน และกล่าวถึงการป้องกันข้อมูลขององค์กร C5 มอบคำแนะนำเกี่ยวกับข้อเสนอของผู้ให้บริการระบบคลาวด์ (CSP)

  • AWS จะช่วยสนับสนุนให้ฉันได้รับใบรับประกัน C5 สำหรับแอปพลิเคชัน SaaS และ PaaS ได้อย่างไร

    โดยหลักแล้ว C5 มีไว้สำหรับผู้ให้บริการระบบคลาวด์มืออาชีพ ผู้ตรวจสอบ และลูกค้าของผู้ให้บริการระบบคลาวด์ ซึ่งเป็นตัวกำหนดว่าข้อกำหนด (หรือที่เรียกว่าการควบคุม) ใดที่ผู้ให้บริการระบบคลาวด์ต้องปฏิบัติตาม

    AWS เป็นผู้ให้บริการระบบคลาวด์รายแรกในเยอรมนีที่ได้รับการรับรอง C5 ในระดับโครงสร้างพื้นฐานเมื่อเดือนพฤศจิกายน 2016 ลูกค้าในเยอรมนีและประเทศในยุโรปอื่นๆ สามารถใช้รายงานการรับรองของ AWS เพื่อช่วยให้พวกเขาปฏิบัติตามข้อกำหนดด้านความปลอดภัยในพื้นที่ของเฟรมเวิร์ก C5 การรับรอง C5 ของ AWS วางรากฐานให้พวกเขาผ่านการรับรอง C5 ของตนเองสำหรับแอปพลิเคชันระบบคลาวด์จากผู้ตรวจสอบ โดยเฉพาะอย่างยิ่ง จะทำให้ลูกค้าของ AWS มีโอกาสได้รับการรับรอง C5 ของตนเองโดยไม่จำเป็นต้องมีความปลอดภัยทางกายภาพของศูนย์ข้อมูล หรือการจัดการส่วนโครงสร้างพื้นฐานของระบบคลาวด์ในขอบข่ายของการตรวจสอบส่วนบุคคลก็ได้ แอปพลิเคชันที่ติดตั้งใช้จริงในรูปแบบซอฟต์แวร์เป็นบริการ (SaaS) และแพลตฟอร์มเป็นบริการ (PaaS) สามารถได้รับการประเมินตามข้อกำหนดเฟรมเวิร์ก C5 การสนับสนุนของ AWS จะช่วยให้คุณสามารถแสดงให้ลูกค้าของคุณเห็นว่าคุณมีใช้การรักษาความปลอดภัยด้าน IT ระดับมาตรฐาน BSI อย่างมีประสิทธิภาพในทุกๆ ชั้น

  • มาตรฐานนี้มีผลกระทบในระดับสากลหรือไม่

    BSI ประสานงานนี้กับ ANSSI และ SecNumCloud Label ที่กำลังจะมีขึ้นของพวกเขา มาตรฐาน C5 ได้รับอิทธิพลจากและในทางกลับกันก็มีอิทธิพลกับมาตรฐาน SecNumCloud ในฝรั่งเศส ด้วยเป้าหมายที่ชัดเจนในการมีตัวเลือกสำหรับการยอมรับร่วมกันภายใต้ตราร่วมที่เรียกว่า ESCloud นอกจากนี้ European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) ฉบับร่างของ European Union Agency for Cybersecurity (ENISA) นำมาจากมาตรฐานความปลอดภัยของ C5 เป็นส่วนใหญ่

  • ใบรับประกันและการรับรองแตกต่างกันอย่างไร

    ใบรับรองออกโดยบริษัทผู้เชี่ยวชาญที่ได้รับการรับรองและมักจะมีอายุระหว่างหนึ่งถึงสามปี สามารถรับใบรับประกันได้ระหว่างการตรวจสอบการปฏิบัติตามข้อกำหนดหรือการตรวจสอบการทำบัญชีโดยบุคลากรที่มีคุณสมบัติ การรับประกันมุ่งเน้นที่มุมมองการใช้งานอย่างต่อเนื่องมากกว่า ซึ่งหมายความว่าวงจรการตรวจสอบซ้ำจะสั้นลงมากเป็นทุกๆ 6 เดือน ตาม ISAE 3000 / 3402 นั้น กระบวนการตรวจสอบจะนำส่งหลักฐานของความเหมาะสมและประสิทธิภาพตลอดระยะเวลาที่ผ่านไป ใบรับรองสามารถรับรองได้เพียงช่วงเวลาสั้นๆ เท่านั้น

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »